Citrix Cloud

Permisos de Azure Active Directory para Citrix Cloud

En este artículo se describen los permisos que Citrix Cloud solicita al conectar y usar Azure Active Directory (AD). Según cómo se use Azure AD con la cuenta de Citrix Cloud, es posible que se creen una o varias aplicaciones de empresa en el arrendatario de destino de Azure AD. Puede conectar varias cuentas de Citrix Cloud a un arrendatario de Azure AD y usar las mismas aplicaciones de empresa sin crear un conjunto de aplicaciones para cada cuenta.

Nota:

A partir de abril de 2022, la aplicación de Azure AD que Citrix Cloud usa para conectar su Azure AD se actualizó para usar el permiso GroupMember.Read.All en lugar del permiso Group.Read.All. Si ya tiene una conexión de Azure AD (de antes de abril de 2022) y quiere que la aplicación utilice el nuevo permiso, debe desconectar y reconectar Azure AD a Citrix Cloud. Esta acción garantiza que su cuenta utilice la aplicación de Azure AD más reciente en Citrix Cloud. Para obtener más información, consulte Conectarse de nuevo a Azure AD para la aplicación actualizada.

Si decide no actualizar la aplicación, la conexión existente seguirá funcionando con normalidad.

Aplicaciones de empresa

En la siguiente tabla, se enumeran las aplicaciones de empresa de Azure AD que Citrix Cloud usa al conectarse y usar Azure AD y el propósito para el que se usa cada aplicación.

Nombre ID de aplicación Uso
Citrix Cloud e95c4605-aeab-48d9-9c36-1a262ef8048e Inicio de sesión de suscriptores de espacios de trabajo
Citrix Cloud f9c0e999-22e7-409f-bb5e-956986abdf02 Conexión predeterminada entre Azure AD y Citrix Cloud
Citrix Cloud 1b32f261-b20c-4399-8368-c8f0092b4470 Invitaciones e inicios de sesión de administradores
Citrix Cloud 5c913119-2257-4316-9994-5e8f3832265b Conexión predeterminada entre Azure AD y Citrix Cloud con Citrix Endpoint Management
Citrix Cloud e067934c-b52d-4e92-b1ca-70700bd1124e Conexión antigua entre Azure AD y Citrix Cloud con Citrix Endpoint Management

Permisos

Los permisos en las aplicaciones de empresa de Citrix Cloud permiten que Citrix Cloud acceda a ciertos datos en su arrendatario de Azure AD. Citrix Cloud utiliza estos datos para realizar funciones específicas, como conectarse a su arrendatario de Azure AD, permitir que los administradores inicien sesión en Citrix Cloud mediante una URL de inicio de sesión dedicada y conectar su arrendatario de Azure AD a Endpoint Management. Citrix Cloud solo puede acceder a estos datos con su consentimiento. Estos permisos representan la cantidad mínima de privilegios que Citrix Cloud necesita para funcionar con Azure AD. Para obtener más información sobre los permisos y el consentimiento en Azure AD, consulte Permissions and consent in the Microsoft identity platform en el sitio web de documentación de Microsoft Azure.

En este artículo, cada conjunto de permisos de aplicación de Azure AD incluye la siguiente información:

  • Nombre de la API: Las aplicaciones de recursos desde las que Citrix Cloud solicita los permisos. Estas aplicaciones son Microsoft Graph y Windows Azure Active Directory. Citrix Cloud solicita los mismos permisos desde estas dos aplicaciones de recursos.
  • Tipo: Los niveles de acceso que Citrix Cloud solicita para un permiso determinado. Los permisos en una aplicación de empresa pueden tener uno de los siguientes niveles de acceso:
    • Los permisos delegados se utilizan para actuar en nombre de un usuario que ha iniciado sesión, como cuando se consulta el perfil del usuario.
    • Los permisos de aplicación se utilizan cuando la aplicación realiza una acción sin la presencia del usuario, como consultas a usuarios de un grupo en particular. Este tipo de permiso requiere el consentimiento de un administrador global en Azure AD.
  • Valor de notificación: La cadena de información que Azure AD asigna a un permiso determinado. Los permisos en una aplicación de empresa pueden tener uno de los siguientes valores de notificación:
    • User.Read: Permite a los administradores de Citrix Cloud agregar usuarios desde el directorio de Azure AD conectado como administradores de la cuenta de Citrix Cloud.
    • User.ReadBasic.All: Recopila información básica del perfil del usuario. Es un subconjunto de User.Read.All, pero el permiso en sí sigue destinado para la compatibilidad con versiones anteriores.
    • User.Read.All: Citrix Cloud llama a List users en Microsoft Graph para habilitar la navegación y la selección de usuarios desde el directorio de Azure AD del cliente conectado. Por ejemplo, los usuarios de Azure AD pueden obtener acceso a un recurso de Citrix DaaS con el espacio de trabajo. Citrix Cloud no se puede usar User.ReadBasic.All, ya que necesita acceder a propiedades que están fuera del perfil básico, como onPremisesSecurityIdentifier.
    • GroupMember.Read.All: Citrix Cloud llama a List groups en Microsoft Graph para habilitar la navegación y la selección de grupos desde el directorio de Azure AD del cliente conectado. Por ejemplo, los grupos de Azure AD también pueden obtener acceso a aplicaciones de Citrix DaaS.
    • Directory.Read.All: Citrix Cloud llama a List memberOf en Microsoft Graph para obtener la pertenencia a grupos del usuario, ya que Groups.Read.All no es suficiente.
    • DeviceManagementApps.ReadWrite.All: Permite a Citrix Cloud leer y escribir en las propiedades, las asignaciones de grupo, el estado de las aplicaciones, las configuraciones de aplicaciones y las directivas de protección de aplicaciones administradas por Microsoft Intune.
    • Directory.AccessAsUser.All: Permite a Citrix Cloud tener el mismo acceso a la información del directorio que el usuario que ha iniciado sesión.

Inicio de sesión de suscriptores de espacios de trabajo

Esta aplicación Citrix Cloud (ID: e95c4605-aeab-48d9-9c36-1a262ef8048e) utiliza los mismos permisos tanto para las aplicaciones de recursos de Microsoft Graph como para las de Windows Azure Active Directory.

Nombre de la API Valor de notificación Nombre del permiso Tipo
Microsoft Graph User.Read Iniciar sesión y leer el perfil del usuario Delegado
Windows Azure Active Directory User.Read Iniciar sesión y leer el perfil del usuario Delegado

Conexión predeterminada entre Azure AD y Citrix Cloud

Esta aplicación Citrix Cloud (ID: f9c0e999-22e7-409f-bb5e-956986abdf02) utiliza estos permisos:

Nombre de la API Valor de notificación Permiso Tipo
Microsoft Graph GroupMember.Read.All Leer todos los grupos Delegado
Microsoft Graph User.ReadBasic.All Leer los perfiles básicos de todos los usuarios Delegado
Microsoft Graph User.Read.All Leer los perfiles completos de todos los usuarios Delegado
Microsoft Graph User.Read Iniciar sesión y leer el perfil del usuario Delegado
Microsoft Graph GroupMember.Read.All Leer todos los grupos Application
Microsoft Graph Directory.Read.All Leer datos de directorio Application
Microsoft Graph User.Read.All Leer el perfil completo de todos los usuarios Application
Microsoft Graph User.Read Iniciar sesión y leer el perfil del usuario Application

Invitaciones e inicios de sesión de administradores

Esta aplicación Citrix Cloud (ID: 1b32f261-b20c-4399-8368-c8f0092b4470) usa estos permisos:

Nombre de la API Valor de notificación Nombre del permiso Tipo
Microsoft Graph User.Read Iniciar sesión y leer el perfil del usuario Delegado
Microsoft Graph User.ReadBasic.All Leer los perfiles básicos de todos los usuarios Delegado
Windows Azure Active Directory User.Read Iniciar sesión y leer el perfil del usuario Delegado
Windows Azure Active Directory User.ReadBasic.All Leer los perfiles básicos de todos los usuarios Delegado

Conexión predeterminada entre Azure AD y Citrix Cloud con Endpoint Management

Esta aplicación Citrix Cloud (ID: 5c913119-2257-4316-9994-5e8f3832265b) utiliza estos permisos:

Nombre de la API Valor de notificación Nombre del permiso Tipo
Microsoft Graph GroupMember.Read.All Leer todos los grupos Delegado
Microsoft Graph User.ReadBasic.All Leer los perfiles básicos de todos los usuarios Delegado
Microsoft Graph User.Read Iniciar sesión y leer el perfil del usuario Delegado
Microsoft Graph Directory.Read.All Leer datos de directorio Application
Microsoft Graph Directory.Read.All Leer datos de directorio Delegado
Microsoft Graph DeviceManagementApps.ReadWrite.All Leer y escribir en aplicaciones de Microsoft Intune Delegado
Microsoft Graph Directory.AccessAsUser.All Acceder al directorio en nombre del usuario con la sesión iniciada Delegado

Conexión antigua entre Azure AD y Citrix Cloud con Endpoint Management

Esta aplicación Citrix Cloud (ID: e067934c-b52d-4e92-b1ca-70700bd1124e) usa estos permisos:

Nombre de la API Valor de notificación Nombre del permiso Tipo
Microsoft Graph GroupMember.Read.All Leer todos los grupos Delegado
Microsoft Graph User.ReadBasic.All Leer los perfiles básicos de todos los usuarios Delegado
Microsoft Graph User.Read Iniciar sesión y leer el perfil del usuario Delegado
Microsoft Graph DeviceManagementApps.ReadWrite.All Leer y escribir en aplicaciones de Microsoft Intune Delegado
Microsoft Graph Directory.AccessAsUser.All Acceder al directorio en nombre del usuario con la sesión iniciada Delegado